2022年WEB攻击与防范 .pdf

《2022年WEB攻击与防范 .pdf》由会员分享，可在线阅读，更多相关《2022年WEB攻击与防范 .pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、浅议 WEB 攻击与防范网络 0802 高柯楠摘要：由于 web站点信息广阔，而又无法让人们辨认其真假。因此web攻击成为了黑客们利用的手段，特别是在电子商务兴起之后，web 攻击所造成的损失是不可忽视的。本文主要讲述 web攻击原因、 web攻击原理和一些主要的防范措施。0 引言随着 Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web 环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web 平台上， Web 业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web 安全威胁的凸显，黑客利用网站操作系统的漏洞和Web 服务程序的SQL 注入漏洞等得到Web

2、 服务器的控制权限， 轻则篡改网页内容， 重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题，对Web 应用安全的关注度也逐渐升温。1 WEB 攻击原因第一，桌面漏洞InternetExplorer 、Firefox和 Windows操作系统中包含很多可以被黑客利用的漏洞，黑客会利用这些漏洞在不经用户同意的情况下自动下载恶意软件代码也称作隐藏式下载。第二，服务器漏洞由于存在漏洞和服务器管理配置错误，InternetInformationServer （IIS ）和 Apache网络服务器经常被黑客用来攻击。第三， Web

3、服务器虚拟托管同时托管几个甚至数千个网站的服务器也是恶意攻击的目标。第四，显性 / 开放式代理被黑客控制的计算机可以被设置为代理服务器，躲避 URL过滤对通信的控制，进行匿名上网或者充当非法网站数据流的中间人。第五， HTML可以从网页内完全不同的服务器嵌入对象用户可以从特定网站请求浏览网页，只自动地从Google 分析服务器等合法网站下载对象；广告服务器；恶意软件下载网站；或者被重新导向至恶意软件网站。第六，普通用户对安全状况不了解多数用户不了解三种SSL浏览器检查的原因；不了解如何验证所下载程序的合法性；不了解计算机是否不正常；在家庭网络内不使用防火墙；也不知道如何区分钓鱼网页和合法网页。

4、第七，移动代码在网站上的广泛使用JavaScript 、Javaapplets 、.NET 应用、 Flash 、ActiveX为编码糟糕的Web应用开启了大门，它们接受用户输入并使用Cookies，就像在跨站点脚本（ XSS ）中一样。第八，宽带接入的广泛使用多数企业网络都受防火墙的保护，而无 NAT防火墙的家庭用户很容易受到攻击而丢失个名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 人信息；充当DDoS的僵尸计算机；安装托管

5、恶意代码的Web服务器家庭用户可能不会对这些状况有任何怀疑。第九，对 HTTP和 HTTPS的普遍访问访问互联网必须使用Web ，所有计算机都可以通过防火墙访问HTTP和 HTTPS 。很多程序都通过 HTTP访问互联网，例如IM 和 P2P软件。第十，在邮件中采用嵌入式HTML电子邮件中的HTML 被用于从Web 上获取恶意软件代码，而用户可能根本不知道已经向可以网站发送了请求。2 WEB 欺骗攻击原理Web欺骗是一种电子信息欺骗，攻击者在其中创造了整个Web世界的一个令人信服但是完全错误的拷贝。错误的Web看起来十分逼真，它拥有相同的网页和链接。然而，攻击者控制着错误的Web站点，这样受攻

6、击者浏览器和Web之间的所有网络信息完全被攻击者所截获， 其工作原理就好像是一个过滤器。Web攻击的关键在于攻击者的Web服务器能够插在浏览者和其他Web之间。为了开始攻击，攻击者必须以某种方式引诱受攻击者进入攻击者所创造的错误的Web 。黑客往往使用下面若干种方法。1把错误的 Web链接放到一个热门Web站点上；2如果受攻击者使用基于Web的邮件，那么可以将它指向错误的Web ；3创建错误的Web索引，指示给搜索引擎。前面描述的攻击相当有效，但是它还不是十分完美的。黑客往往还要创造一个可信的环境，包括各类图标、文字、链接等，提供给受攻击者各种各样的十分可信的暗示。总之就是隐藏一切尾巴。此时，

7、 如果错误的Web是富有敌意的， 那么无辜的用户将处于十分危险的境地。另外，黑客还会注意以下方面。1.状态线路连接状态是位于浏览器底部的提示信息，它提示当前连接的各类信息。Web欺骗中涉及两类信息。首先，当鼠标放置在Web链接上时，连接状态显示链接所指的URL地址，这样，受攻击者可能会注意到重写的URL地址。 第二， 当 Web连接成功时， 连接状态将显示所连接的服务器名称。这样，受攻击者可以注意到显示www.org ，而非自己所希望的站点。攻击者能够通过JavaScript编程来弥补这两项不足。由于JavaScript能够对连接状态进行写操作，而且可以将JavaScript操作与特定事件绑定

8、在一起，所以，攻击者完全可以将改写的URL状态恢复为改写前的状态。这样Web欺骗将更为可信。2.位置状态行浏览器的位置状态行显示当前所处的URL位置，用户也可以在其中键入新的URL地址进入到另外的URL ，如果不进行必要的更改，此时URL会暴露出改写后的URL 。同样地，利用 JavaScript可以隐藏掉改写后的URL 。JavaScript能用不真实的URL掩盖真实的URL ，也能够接受用户的键盘输入，并将之改写，进入不正确的URL 。3 防范 WEB 攻击策略Web欺骗攻击的结果由于攻击者可以观察或者修改任何从受攻击者到Web服务器的信息；同样地，也控制着从 Web服务器至受攻击者的返回

9、数据，这样攻击者就有许多发起攻击的可能性，包括监视和破坏。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 攻击者能够监视受攻击者的网络信息，记录他们访问的网页和内容。当受攻击者填写完一个表单并发送后，这些数据将被传送到Web服务器， Web服务器将返回必要的信息，但不幸的是， 攻击者完全可以截获并加以使用。大家都知道绝大部分在线公司都是使用表单来完成业务的， 这意味着攻击者可以获得用户的帐户和密码。下面我们将看到，即使受攻击者有

10、一个“安全”连接（通常是通过Secure SocketsLayer 来实现的，用户的浏览器会显示一把锁或钥匙来表示处于安全连接），也无法逃脱被监视的命运。在得到必要的数据后，攻击者可以通过修改受攻击者和Web服务器之间任何一个方向上的数据，来进行某些破坏活动。攻击者修改受攻击者的确认数据，例如，如果受攻击者在线订购某个产品时，攻击者可以修改产品代码，数量或者邮购地址等等。攻击者也能修改被Web服务器所返回的数据，例如，插入易于误解或者攻击性的资料，破坏用户和在线公司的关系等等。Web欺骗是当今Internet上具有相当危险性而不易被察觉的欺骗手法。幸运的是，我们可以采取的一些保护办法。一、短期

11、的解决方案为了取得短期的效果，最好从下面三方面来预防：1. 禁止浏览器中的JavaScript功能，那么各类改写信息将原形毕露；2. 确保浏览器的连接状态是可见的，它将给你提供当前位置的各类信息；3. 时刻注意你所点击的URL链接会在位置状态行中得到正确的显示。现在， JavaScript 、ActiveX以及 Java 提供越来越丰富和强大的功能，而且越来越为黑客们进行攻击活动提供了强大的手段。为了保证安全， 建议用户考虑禁止这些功能。这样做，用户将损失一些功能，但是与可能带来的后果比较起来，每个人会得出自己的结论。因此详细概括一下十点:第一，阻止对恶意软件服务器的访问当台式机用户从未知的恶

12、意软件服务器请求HTTP和 HTTPS 网页时，立即阻止此请求，节约带宽并扫描资源。第二，把移动代码限制到值得信任的网站脚本和活跃代码等移动代码可以让网络更加丰富有趣，但也黑客渗透桌面计算机和运行可执行代码或应用来执行文件中嵌入的脚本。第三，在 Web网关处扫描不要认为您的所有桌面都是最新的，运行反病毒程序（AVP ）或访问计算机管理完善。在恶意软件尝试进入网络而不是已经进入桌面之前就要进行集中扫描，从而轻松地控制所有进入的 Web通信。第四，使用不同厂商的产品进行桌面和Web网关扫描现在的攻击在发布之前都针对流行的AVP进行测试。通过恶意软件扫描的多样化增加阻止威胁的机会。第五，定期更新桌面

13、和服务器补丁多数攻击和威胁都利用应用和系统漏洞散播。降低已知漏洞给您的计算机带来的风险。第六，安装反病毒软件并保持更新自引导区病毒出现之日起，安装反病毒软件已经成为标准的程序，用来检查进入的文件、扫描内存和当前文件。第七，只访问通过所有浏览器检查的HTTPS 网站多数用户不了解三种SSL浏览器检查的重要性，或者不理解不要访问未通过所有三项检查的网站。 SSL 检查是过期证书；不值得信任的发布者；以及证书与所请求URL之间的主机名不匹配。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第

14、3 页，共 4 页 - - - - - - - - - 第八，只从值得信任的网站下载可执行程序社会工程在互联网上非常活跃！一种发布恶意软件的有效方式是把其捆绑到看似有用的程序中。执行以后，恶意软件就会为所欲为。这种攻击类型也称作特洛伊木马攻击。第九，不要访问把IP 地址用作服务器的网站最近的攻击越来越多地利用安装有简单Web服务器的家用计算机。受害者的机器通常通过 IP 地址而不是DNS主机名被导向新的家庭计算机服务器。合法网站的URL会使用主机名。第十，仔细地输入网址避免错误用户永远不要试图访问恶意软件网站，但意外总是有可能发生。错误地输入网址通常会登录某些坐等您上门的网站。二、长期的解决方

15、案1. 改变浏览器，使之具有反映真实URL信息的功能，而不会被蒙蔽；2. 对于通过安全连接建立的Web 浏览器对话，浏览器还应该告诉用户谁在另一端，而不只是表明一种安全连接的状态。比如：在建立了安全连接后，给出一个提示信息“NetscapeInc. ”等等。4结束语由于当前 web应用的广泛性， web攻击的防范显得尤为重要。我们在通过相关的策略技术避免被攻击的同时，应该拥有一种保护的意识。特别是在电子商务、网上银行等与我们切身利益密切先关的业务方面。这是一个长期的过程，更是对网络安全维护人员的一种考验，也需要各种技术型人才的加盟一起携手做好网络安全。参考文献计算机网络安全教程刘华春蒋志平编著中国水利水电出版社名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -